En las calles de Tel Aviv (Israel) el calor es sofocante, pero en la sala de control antifraude de la empresa RSA ni se nota. En un ambiente gris e impersonal, 15 jóvenes informáticos clavan los ojos en sus respectivas pantallas bajo el chorro del aire acondicionado. Uno de ellos, rubio y con coleta, recibe un aviso de un banco italiano que está siendo víctima de un ataque de phishing: alguien ha clonado la web para intentar engañar a sus clientes. Tras teclear códigos extraños, Owen averigua que el clon se aloja en el servidor de la web de una empresa cordobesa de aceite de oliva y se pone en contacto con ellos para frenar el ataque
28-09-2009 - CARMEN PÉREZ-LANZAC - El País - Mientras esto sucede, en la habitación contigua David, otro informático, está inmerso en tareas algo más complejas. Tiene ante sí un ordenador infectado con un troyano, un programa informático que se infiltra en los ordenadores con el fin de sustraer datos, suplantar identidades y alterar programas. David accede a la web (real) de una entidad bancaria e introduce su clave, "Pedro1234". Como si de una caja negra se tratara, el troyano registra la operación en un lenguaje encriptado para que sólo su dueño pueda descifrarlo.
La Red está cambiando y el fraude online también. Si en 2006 el phishing -falsos correos, generalmente sumulando entidades bancarias- suponía el grueso de los ataques que circulaban por los ordenadores españoles (el 86%, según la compañía S21sec), el año pasado se redujo a un 62%. En 2009, la modalidad en auge es silenciosa. Los troyanos, calculan los expertos, ya causan la mitad de los ataques.
¿Cómo infecta un troyano un ordenador? Muchos lo hacen por la vía del tradicional spam (basura) o al descargar un vídeo. O se cuelan a través de webs perfectamente legales que han sido infectadas, como le sucedió a la página oficial de Paul McCartney o a la de la revista Business Week.
Aunque los expertos aseguran que el fraude no supone ni el 1% de las operaciones online, mueve bastante dinero y supone todo un mercado con sus tarifas, su oferta y su demanda. Un troyano, por ejemplo, cuesta entre 300 y 2.500 euros (en el caso de uno muy exclusivo), pero también los hay gratuitos y abiertos a las modificaciones de todo el que quiera mejorarlo. Una vez que los criminales logran nuestras claves bancarias, las ofrecen por paquetes en Internet (cada clave cuesta entre 0,3 y 0,8 euros si la cuenta no ha sido usada antes). Esta fase del fraude, la que se encarga de obtener nuestras claves, sólo se embolsa el 20% del total. El grueso es para quienes logran sacar el dinero de la cuenta, la parte más peligrosa y la que atrae a menos candidatos (uno de cada cuatro). Ellos son quienes se encargan de captar mulas (personas engañadas mediante ofertas de trabajo falsas) o expertos en blanqueo de dinero. Estos últimos se ofrecen voluntarios y compiten entre sí, como se ve en la siguiente conversación, capturada de un chat:
Electric master: "Soy bueno. Sólo cobro el 25%. Saadi es de Pakistán, no te fíes de un paquistaní. Siempre te traicionan".
Saadi: "Soy bueno. Sólo cobro el 20%. Electric-master es de Estados Unidos, no te fíes de los americanos. Traicionan, como Bush :)".
Pero volvamos a los troyanos. ¿Cuál es el alcance real de este peligro invisible? Difícil saberlo. Yaron Shohat, responsable del área de antifraude de RSA -la división de seguridad de EMC-, calcula que el 25% de los ordenadores están ya "infectados" y que sólo el 20% de los antivirus los detectan. "Es una guerra perdida", opina. ¿Cómo proteger entonces nuestras cuentas bancarias? "Por capas, como una cebolla. Poniendo filtros en cada etapa".
Alertas de seguridad que se activan cuando registran movimientos sospechosos en nuestras cuentas; informáticos que se infiltran en foros del mercado negro para entorpecer la comunicación entre criminales o que pasan horas para descifrar el modus operandi de un troyano. En esas estaban los informáticos de la empresa de seguridad S21sec, cuando recibieron un mensaje: "por qué no dejas ya esta m**rda. quieres que te ayude un poco? es que me da risa ver las horas que pasas sudando intentándolo...". El autor del troyano burlándose de su esfuerzo.
Valorar el alcance del fraude es difícil, entre otras cosas porque los bancos no hablan del tema. Sin embargo, los responsables de seguridad de dos entidades, que piden anonimato, lanzan un mensaje tranquilizador: "El mayor peligro es el usuario. El uso que haga de Internet y que tenga un buen antivirus", dice uno. "Más que preocuparnos, nos ocupa", añade un segundo. "El fraude no afecta ni al 1 por millón de los movimientos. Es como los accidentes de avión. Hay muy pocos, pero cuando hay uno, es un lío".